第一:从源头上保证网站程序的安全性。
我们在开发网站时自己动手写代码开发网站对技术性要求比较高,但是大部分程序员虽然代码编写的很好,但是对安全性和SEO友好度把握的都不是很好。大家都知道开发网站用的语言很多,什么PHP,JAVA,ASP,.NET等等。无论用什么语言,在开发时候都要考虑一下安全性问题。
1、表单数据验证。对任何数据进行检查,接受所有可以接受的数据,拒绝所有不能接受的数据;
2、使用验证码。对注册,发表等一切用户行为进行验证码验证,防止机器人发布。
3、关于数据库。禁止数据库直接通过IE下载,设置服务器来禁止某类型的文件下载,限制数据库用户权限,对应的人给对应的权限。
4、SQL语句的防注入。
如果是网站程序是下载的源码,大家在寻找源码的时候要找比较知名的源码来修改,不要轻易下载个人开发的程序。可以到一些大型的源码站去下载,这个站点的源码他们自己也都检测过。源码下载后要用杀毒软件扫描下,不管有没有用也要意思下。然后在本地调试,寻找一切Bug和漏洞,别等上线后才去修改Bug,那样就不是安全性问题了,对搜索引擎的用户体验度很不好的!
第二:网站上线期间要对网站进行全面安全检查。
上线期间的安全,我们这里只谈服务器和网站源码的检测问题,因为上线期间涉及到最大的问题就是服务器,其次就是上线的源码。
1、独立服务器。独立服务器的安全配置很复杂,如果你把自己的服务器托管到机房,这些都会有管理员帮助你搞定,如果不托管自己维护,那就要根据你的服务器使用的操作系统来进行相关的平台配置和搭建,大家可以去搜索相关的技术文档。还是推荐把独立服务器托管,那样遇到问题会有相关技术人才进行解决。个人站长很少用独立的服务器,所以在这里不多谈。
2、VPS和虚拟主机。其实虚拟主机不需要去考虑安全性问题,因为虚拟主机都是从服务器上划分出来的虚拟空间而已,安全性问题已经有人解决。但是在选择虚拟主机时候要选择好的IDC,在买之前要了解下该机房的维护情况,是不是经常断线,是不是经常受到攻击,解决问题是不是及时,该虚拟主机里面的站点是不是安全,有没有被搜索引擎惩罚的站点等等问题。反正在买的时候多长个心眼,多了解多问。
3、源码的检测。经过前期的代码编写或者源码修改,网站的源码已经成形。但是不要急着上线,要对源码进行认真的检测,黑客都很精通程序,所以认真排查网站漏洞。把源码上传到服务器后,别记着把网站对外开放,可以用一切网站检测平台对网站进行一次检测,根据问题来解决问题。常见的检测平台很多,如:360,百度站长平台,站长之家的安全检测等等。上线后把后台帐号密码设置的更复杂,数据库和后台路径都不要使用默认。如果你是修改的源码,要定期更新源码的补丁。
4、数据库的检测。SQL注入攻击,我们很多网站并没有用户访问参数过滤,或者过滤不够严格,造成很多攻击者可以直接通过SQL进行窃取帐号和密码,他们可以通过很多方式,查到表达里面还有有关人员帐号,查到之后进行破解,最后得到数据库管理员密码,只要有数据库帐号密码之后可以进行木马注入,这个占黑客攻击的70%左右。
5、文件驱动保护,这个还是比较有效的,通过系统文件底层的驱动保护,实现网站文件或文件夹不被删除修改,或者发现被篡改后进行恢复。通过文件驱动保护方式,可以有效的对静态文件进行保护,但是还有一个缺点它不能保护动态区域,不能保护数据库,因为有些数据要变动了。
WEB核心内嵌保护很流行的,它可以对网页进行非常准确效率非常高过滤点,一点发现网页被篡改马上进行阻止,也就是防止被篡改网页不被留出,它的好处第一个,由于它是内线的,所以不存在病毒或者木马关闭掉,像我们装一些防泄密软件,一旦病毒进入之后会把你这个软件关闭,但是核心内嵌技术没有这个缺点,另外一个缺点就是有一点延迟,但是目前延迟可以对用户访问来说可以忽略。
第三:网站在运营期间要做好网站的安全防护工作。
1、定期对服务器系统进行安全更新。保证服务器的安全运行。
2、建立防篡改系统,可以对我们网站原有文件进行保护,保证我们网页不会篡改不会删除,每当我们网页留出我们做一些准备,如果发现目前留出网页和我们直线做备份有不同的时候,我们认为网页被篡改了,这个时候我们不让被篡改网页流出去,并且主动还原和报警。
3、定期的对源码进行维护扫描。防止被黑客挂马或者留下后门。也要定期的修改后台密码和FTP密码。如发现被黑客挂马要立即清除。养成经常备份数据的习惯。
4、robots.txt的编写要符合规范。也要禁止搜索引擎抓取重要的敏感数据。
5、擅用一切SEO工具。多用百度站长平台和站长之家提供的工具,有很多工具都和网站安全有关系,可以根据工具的反馈来调整SEO策略。
鲁公网安备 37021402001407号